Касперский блокирует rdp подключение

Обновлено: 06.07.2024

Первый шаг к безопасному путешествию по бескрайним просторам всевозможных сетей это конечно же установка надежного средства защиты. Одним из немногих таких средств является комплексный продукт Kaspersky Internet Security.

Первый шаг к безопасному путешествию по бескрайним просторам всевозможных сетей это конечно же установка надежного средства защиты. Одним из немногих таких средств является комплексный продукт Kaspersky Internet Security. Несмотря на то, что KIS продукт достаточно сложный, он сразу после установки готов выполнять все возложенные на него обязанности. Необходимость в дополнительных настойках возникает крайне редко, и это очень большой плюс разработчикам. Но необходимо понимать, что эта возможность базируется на острой грани компромиссных решений. В чем они заключаются рассмотрим на примере сетевого экрана.

Настройки сетевого экрана состоят из двух частей: правила для программ и пакетные правила. При помощи правил программ можно разрешать или запрещать определенным программам или группам программ посылать или принимать пакеты или устанавливать сетевые соединения. При помощи пакетных правил разрешается или запрещается устанавливать входящие или исходящие соединения, и передача или прием пакетов.

Посмотрим, что представляют собой правила для программ.


Все программы имеется четыре категории:

  1. Доверенные – им разрешено все без исключения.
  2. Слабые ограничения – установлено правило “запрос действия”, позволяющее пользователю по самостоятельно принимать решение о целесообразности сетевого общения программ этой группы.
  3. Сильные ограничения – в части разрешения работы с сетью, то же, что и слабые.
  4. Не доверенные – по умолчанию этим программам запрещено любое сетевое общение (по человечески очень жаль их).

В группу “доверенные” по умолчанию помещены все программы от Микрософт, собственно сам KIS и другие программы известных производителей. Для настроек по умолчанию выбор хороший, но лично я не стал бы всем программам, пусть даже и именитых производителей, так безраздельно доверять.

Как же попадают программы в ту или иную группу? Здесь все не так просто. Решение о помещении конкретной программы в одну из четырех групп принимается на основе нескольких критериев:

  1. Наличие сведений о программе в KSN (Kaspersky Security Network).
  2. Наличие у программы цифровой подписи (уже проходили).
  3. Эвристический анализ для неизвестных программ (что то типа гадания).
  4. Автоматически помещать программу в заранее выбранную пользователем группу.

Все эти опции находится в настройках “Контроль программ”. По умолчанию установлены первые три опции, использование которых и приводит к большому количеству “доверенных” программ. Четвертую опцию можно выбрать самостоятельно как альтернативу первым трем.

Проведем эксперимент. Поместим какую либо программу (например, браузер “Opera”) в список программ со слабыми ограничениями и посмотрим как работает правило “запрос действия”. Для вступления правил программ в действие нужно закрыть и снова открыть программу, правила для которой были изменены. Если теперь попробовать зайти на любой сайт, то никакого запроса действия не произойдет, а программа спокойно установит сетевое соединение. Как оказалось, правило “запрос действия” работает только если в основных параметрах защиты снят флажок с опции “Выбирать действие автоматически”.

Еще один сюрприз ожидает пользователей сетевых утилит типа ping, tracert (если правило “запрос действия” распространить на доверенные программы), putty (ssh клиент) и, возможно, им подобных. Для них KIS упорно не хочет выводить экран запроса действия. Здесь выход может быть только один – устанавливать разрешения для конкретной программы вручную.

Прежде, чем перейти к пакетным правилам, позволю себе один совет: создавайте для каждой группы программ свои подгруппы. Например: “Сетевые утилиты”, “Офисные программы”, “Программы для Интернета”, и т.д. Во первых, всегда можно будет быстро найти нужную программу, и, во вторых, можно будет устанавливать правила на определенные группы, вместо установки правил для отдельных программ.


В пакетных правилах определяются отдельные признаки пакетов: протокол, направление, локальный или удаленный порт, сетевой адрес. Пакетные правила могут действовать как “разрешающие”, “запрещающие” и “по правилам программ”. Правила просматриваются сверху вниз пока не будет найдено разрешающее или запрещающее правило по совокупности признаков. Если правило для пакета не найдено, то применяется правило по умолчанию (последнее). Обычно в сетевых экранах последним правилом устанавливают запрет на прием и передачу любых пакетов, но для KIS это правило разрешающее.


Область действия правил охватывает определенную область: “любой адрес” (все адреса), “адрес подсети” – здесь можно выбрать тип подсети “доверенные”, “локальные” или “публичные”, и “адреса из списка” – указать IP адреса или доменные имена вручную. Отношение конкретной подсети к “доверенной”, “локальной” или “публичной” устанавливается в общих нстройках сетевого экрана.


Пакетные правила KIS, в отличие от большинства сетевых экранов, перегружены большим числом направлений: “входящее”, “входящее (поток)”, “исходящее”, “исходящее (поток)”, и “входящее/исходящее”. Причем, правила с некоторыми сочетаниями протокола и направления не работают. Например, правило запрета ICMP в сочетании с потоковыми направлениями работать не будет, т.е. запрещенные пакеты будут проходить. К UDP пакетам почему то применяются потоковые направления, хотя UDP протокол по своей природе как такового “потока” не создает, в отличии от TCP.

Еще один, не совсем приятный момент заключается в том, что в пакетных правилах отсутствует возможность указать реакцию на запрет входящего пакета: запретить прием пакета с уведомлением отправившей его стороны или просто отбросить пакет. Это так называемый режим “невидимости”, который раньше в сетевом экране присутствовал.

Теперь обратимся к собственно правилам.

1 и 2 правила разрешают по правилам программ отправлять DNS запросы по протоколам TCP и UDP. Безусловно, оба правила полезны, но в основном такие сетевые программы как почтовые и браузеры запрашивают адреса сайтов через системную службу DNS, за работу которой отвечает системная программа “svchost.exe”. В свою очередь, сама служба использует вполне конкретные адреса DNS серверов, указываемые вручную или через DHCP. Адреса DNS серверов меняются редко, так что вполне хватило бы разрешения отправки DNS запросов для системной службы “svchost.exe” на фиксированные сервера доменных имен.

3 правило разрешает программам отправку электронной почты по протоколу TCP. Здесь также, как и для первых двух правил, достаточно было бы создать правило для конкретной программы работы с электронной почтой указав на какой порт и сервер производить отправку.

4 правило разрешает любую сетевую активность для доверенных сетей. Будьте очень внимательны при включении этого правила, не перепутайте случайно тип сети. Это правило фактически отключает функции сетевого экрана в доверенных сетях.

5 правило разрешает любую сетевую активность по правилам программ для локальных сетей. Это правило хоть и не отключает полностью сетевой экран, но в значительной степени ослабляет его контрольные функции. По логике 4 и 5 правила нужно было бы разместить в самом верху, чтобы предотвратить обработку пакетов правилами 1 – 3 при нахождении компьютера в доверенной или локальной сети.

6 правило запрещает удаленное управление компьютером по протоколу RDP. Хотя область действия правила “все адреса”, но фактически оно действует только в “публичных сетях”.

7 и 8 правило запрещает доступ из сети к сетевым службам компьютера по протоколам TCP и UDP. Фактически правило действует только в “публичных сетях”.

9 и 10 правила разрешают всем без исключения подключаться к компьютеру из любых сетей, конечно исключая службы, запрещенные правилами 6 – 8. Действует правило только для программ с разрешенной сетевой активностью. Но будьте очень внимательны, сетевая активность по умолчанию разрешена практически всем программам за исключением не доверенных.

11 – 13 правила разрешают прием входящих ICMP пакетов для всех программ. Смысла в этих правилах не больше, чем в 1 – 3, потому, что ICMP в подавляющем большинстве случаев использует программа ping и tracert.

14 правилом запрещается прием всех типов ICMP пакетов, разумеется за исключением разрешенных правилами 11 – 13.

16 правило запрещает входящий ICMP v6 эхо запрос. ICMP v6 в подавляющем большинстве случаев не нужен. Можно было бы запретить его полностью.

17 правило разрешает все, что явно не разрешено или запрещено предыдущими правилами. Это правило хотя и не отображается на экране, но помнить о его существовании безусловно необходимо.

Настройки сетевого экрана KIS по умолчанию безусловно хороши и подходят большинству пользователей домашних компьютеров, на которых, собственно, и ориентирован этот продукт. Но гибкость и нетребовательность к дополнительным настройкам, о которой упоминалось в начале статьи, к сожалению достигается за счет безопасности самих же пользователей, делая эту самую безопасность очень сильно зависимой от человеческого фактора: знаний и безошибочных действий самого пользователя.

Во дела. Регулярно работаю и через RDP и через RAdmin с компами в своей конторе, на которых стоит Каспер. Мало того, что он прекрасно управляется, так еще и рекламы никакой нет. Что я делаю не так?!

А, наверное моя контора не стала ставить домашние и бесплатные версии, а купила нормальную корпоративную лицензию. Вот извращенцы!

Но виноват конечно Каспер, ага.

странно что вообще домашняя версия, стоит в бизнесе, когда у них есть специальная для этого версия

Ну спец версия имеет смысл если есть куча компов и собираешься использовать агент администрирования. А если в конторе полтора человека работают то и домашней хватит.

В лицензионном договоре нельзя использовать в любом бизнесе

Хоспаде, я вас умоляю. Кого это в наше время интересует? У большинства вобще фришный стоит. А то и аваст.

У нас в офисе лицензия. лично устанавливал, хоть и не админ. Про эту проблему знаю, но она сделана специально. Отключается в настройках. ТС паникер, а их эникейщик еблан.

Опа-опа. А можно инструкцию?

я тут в теме скидывал скрин где добавил в исключения Ammyy admin.

а еще можно так

@moderator, а почему апдейт не добавлен что пользователь сам "дурак"?

Иллюстрация к комментарию

Не понял юмора. Зачем ради этого модератора призывать?

затем что в программе есть возможность настройки через программы удаленного доступа, но так как сисадмин который все это устанавливал не настроил должном образом ТС думает, что это касперский пидарас.

Но он же пидарас. Зачем на пол экрана рекламу выводить, ещё и без таймера автозакрытия?

не знаю у нас в офисе лицуха, рекламы нет)

Потому, что чтобы нажать эту галку, нужно быть у компа

бинго, чтобы установить тимвьювер надо так же быть у компа

Установка того и другого не обязательно делается одновременно. Более того, каспера можно поставить будучи подключенным через тимвьювер

1)Зачем ставить тимвьювер, если есть RDP по дефолту?

Как здорово вы предлагаете голой жопой выставить RDP в Интернет

Я такого не предлагал. Мы через VPN ходим.

Есть кто-то, кто все еще не использует vpn ?

Затем что для RDP нужен постоянный айпишник или танцы с бубном (например ВПН-сервер+DDNS) Не всем это дано.

А что есть какие-то проблемы с постоянным IP для компаний?

1 проблема. Он денег стоит.

Неужно каких-то значительных? Лично я счета за IP не видел, но
1)у меня дома статический белый 100мбит за 300р/мес.
2)на работе на каждый филиал висит несколько неиспользованных IP адресов.
Так что по логике стоят они очень немного. Да и вообще, там даже не целый IP надо, а 1 порт. неужто ни одного белого статического IP нет?

Ну во первых для юридических лиц дороже, а во вторых.. Вы разве ни разу не сталкивались с конторами которые за эти 300 рублей удавиться готовы.

Ну во первых думаю всё равно дешевле, чем даже масками(не говоря уж о нормальной защите) персонал обеспечить.

Скажем так. Очень много должно сойтись звёзд, чтобы контора хотела и могла удаваться за эти 300р,
1)она должна хотеть удаваться за 300р.
2)она должна иметь неразвитую IT инфраструктуру(а иначе IP, у которого можно отжать хотябы 1 порт найдётся)
3)Она должна быть достаточно отмороженной, чтобы вместо того, чтобы заплатить 300р рисковать работой удалёнки(мы обнаружили что ваш тимвьювер используется в коммерческих целях, так что время сеанса ограничиваем 1 минутой) И рисковать штрафами за нелицензионное ПО.

А откуда развитая инфраструктура у мелкой конторы? А таких у нас хватает.

А про остальные пункты вы забыли? А чтоб все совпадали. думаю таких немного.

К сожалению хватает. У нас порой еще в небольших конторах и одноядерные процы встречаются. На WinXP я уж даже не удивляюсь.

1)DDNS и проброс портов минут 10 настраивается

2)RadminVPN два клика и готово

Вы будете смеяться, но большинство эникеев даже не в курсе про DDNS.

А как трудно бывает отбиться от тех, кто в курсе! Примерно неделю меня один мучил: пробрось ему в квартиру порты. По ddns. Там есть опция. Ты чо, ваще? Ну пробрось! А то, что у него динамический ip - непонятно какой серый, а реальный ip всего один на весь микрорайон - это выше человеческого понимания. Обижаются, дуются.

Ну оно вобще-то и через нат работает.

еще и тег коронавирус влеплен. при чем тут коронавирус?

Не каспером единым. Другие антивири тоже так умеют блокировать удаленку. А некоторые вообще удолбищный анидеск юзают.

в настройках есть галка или раздел "самозащита". Её можно снять.

Тьфу ты блин, я думал вы про рекламу в касперыче.

Очень здорово так работать, когда комп в России а сам ты живёшь в UK. Уже полгода как лицензию не могу обновить на этот долбаный каспер, потому что не добавил в исключения. И не удалить ведь тоже.

Т.е. по ващему это нормальное решение проблемы, что чтобы разрешить закрытие рекламы нужно разрешить удалённое изменение настроек?
P.S. На работе каспер, рекламы нет.

Вы смотрите срез комментариев. Чтобы написать комментарий, перейдите к общему списку

Опять шерстяной.

Московский бородач сначала жестоко избил парня на улице, а затем ударил в лицо его девушку, которая заступилась за любимого.

Причина конфликта — пострадавший косо посмотрел на проходившего мимо агрессивного молодого человека.

Про штрафы и наказания

Про штрафы и наказания Антипрививочники, QR-код, Скриншот, Комментарии, Россия, Штраф, Политика

Акула бизнеса

Акула бизнеса Быдло, 2ГИС, Длиннопост, Повтор, Мат, Скриншот

Акула бизнеса Быдло, 2ГИС, Длиннопост, Повтор, Мат, Скриншот

Акула бизнеса Быдло, 2ГИС, Длиннопост, Повтор, Мат, Скриншот

За качество скринов извиняюсь, брал в местном паблике


Нараспев

Нараспев

А ты слышишь этот звук ?)

А ты слышишь этот звук ?) Зима, Штаны, Россия, Холод, Утро, Улица, Звук, Картинка с текстом, Юмор


Тем временем в Тиндере на злобу дня:

Тем временем в Тиндере на злобу дня:


Окончание проекта "икота"

Здравствуйте, люди добрые.
Вот и добрались до неутешительной сути. Гепатит С.
Пока не знаю, что дальше.
Не болейте. Проверьтесь на всякий случай.
Зараза ничем себя не выдаёт. Завтра иду на эластографию печени. Поглядим, что там.
Спасибо всем, кто "учавствовал" )
Всего доброго. Берегите себя.


Человек

Ответ на пост «Промашка»

Пришел со школы. 5 класс. По дороге встретил маму, идущую в магазин.Она сказала сейчас из магазина вернется и будем кушать.
Есть хотелось сильно, на плите ( печь кирпичная дровяная) в кастрюле стояла уха. Решил сам поесть, не маленький.
Налил уху, поел. С добавкой.
Мама заходит:
- Пойдем кушать
- Мам, я уже поел
- Что ты поел? Еда в духовке нетронутая стоит
- Уху
- Это не уха, это я поросятам маленьким потроха рыбные сварила с картофельными очистками.
Не знаю как поросятам, мне было вкусно)


Надёжный план

Надёжный план Юмор, Скриншот, Twitter, Отношения


Жена и груша

Жена и груша

. *и делает вид, что поверила*

. *и делает вид, что поверила*


А баба то шарит.

А баба то шарит. Мемы, Авто, Девушки

Бородатые рейсеры

В Подмосковье бородатые рейсеры избили мужчину с грудным ребёнком, возмутившегося гонками под окнами. Дела на них заводить не стали.

Балашиха, сентябрь. 37-летний Станислав выходит гулять с ребёнком. В это время Гаджимурад Джанболатов, его жена Айшат Хидирбекова и её племянник тестят во дворе новую BMW X6, как она разгоняется от 0 до 100. Станислав просит парней отъехать от дома, чтобы пыль не летела в коляску, а грохот не мешал ребёнку спать. А дальше — всё по классике.

Гонщики выскочили из автомобиля и полезли в драку. Станислав кое-как отбился, зашёл в подъезд и оттуда вызвал полицию. Борцухи зашли следом за ним, просьбу мужчины разрешить завезти в дом коляску и потом разобраться один на один проигнорировали. После драки два месяца Станислав лечился, из-за тремора не может брать ребёнка на руки, водить машину, работать. Судмедэкспертиза усмотрела в происшедшем только лёгкий вред здоровью, дело не возбудили.

Далее по тексту следующая статья.

Мужчине, избитому уличными рейсерами в Балашихе, пришлось продать квартиру и переехать — он боялся за свою жизнь и жизнь ребёнка.

В сентябре Станислав гулял с коляской, сделал замечание гонявшим во дворе Гаджимураду Джанболатову с компанией — после чего его избили всей толпой при грудном ребёнке. Дела правоохранители возбуждать не стали. Зато, по словам Станислава, сильно возбудились его соседи. Они караулили его под дверью, преследовали его и его жену, когда они покидали квартиру.

Потом Станислав узнал, что Айшат Хидирбекова в драке откусила кусок носа другой женщине — тогда против неё возбудили дело о причинении тяжкого вреда здоровью, но вместо 8 лет тюрьмы она отделалась штрафом в 10 тысяч. Услышав об этом, Станислав продал квартиру и съехал в другой район. Сейчас он добивается независимой экспертизы и хочет, чтобы дело всё же было возбуждено. Гаджимурад, один из подозреваемых, сказал нам, что "конфликт замяли", никакого вреда здоровью не было, а гипс мужчина надел специально, чтобы симулировать травму.

Она ещё не поняла

Она ещё не поняла


Молодая мама

Иногда ко мне на работу приходит дочь одной коллеги с девочкой лет трех. Поначалу думал,что трехлетка дочь коллеги,а оказалось это её внучка от 16-летней дочери. У другой коллеги узнал об этом. А та еще и выдала ,как эта внучка появилась.
В 12 лет отдали летом на каникулы в деревню к бабушке с дедушкой. Туда же спихнули племянника,сына сестры коллеги,на тот момент ему 15 было. С чего началось коллега вспомнить не могла из рассказов новоиспеченной бабушки,но 15-летний засранец запугал сестру и всё лето её насиловал. Девочка молчала до осени пока живот не стал заметен. Только через психолога родители узнали подробности. Аборт не разрешили,племянника посадили. А на следующий год коллега стала бабушкой.


Необычное имя

Необычное имя


У нас открыли памп трек.и яжматери сразу привели малышей на него

Интересно как скоро лбы подротски собьют мелких и будут драться с родителями?)

У нас открыли памп трек.и яжматери сразу привели малышей на него Дети, Яжмать, Безопасность, Техника безопасности, Длиннопост

Мелкие падают.подскальзываются.не могут выбраться из ямы)

У нас открыли памп трек.и яжматери сразу привели малышей на него Дети, Яжмать, Безопасность, Техника безопасности, Длиннопост

12+? Шлемы? Всем пофигу)

Ответ на пост «Опять шерстяной. »

Проверка состояния протокола RDP

Проверка состояния протокола RDP на локальном компьютере

Сведения о том, как проверить и изменить состояние протокола RDP на локальном компьютере, см. в разделе How to enable Remote Desktop (Как включить удаленный рабочий стол).

Проверка состояния протокола RDP на удаленном компьютере

В точности следуйте инструкциям из этого раздела. Неправильное изменение реестра может вызвать серьезные проблемы. Прежде чем редактировать реестр, создайте резервную копию реестра, чтобы вы могли восстановить его в случае ошибки.

Чтобы проверить и изменить состояние протокола удаленного рабочего стола на удаленном компьютере, используйте подключение сетевого реестра:

Редактор реестра, в котором отображается запись fDenyTSConnections

  1. Сначала откройте меню Пуск и выберите Выполнить. В появившемся текстовом поле введите regedt32.
  2. В редакторе реестра нажмите Файл и выберите пункт Подключить сетевой реестр.
  3. В диалоговом окне Выбор: "Компьютер" введите имя удаленного компьютера, выберите Проверить имена и нажмите кнопку ОК.
  4. Перейдите в раздел HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server и в раздел HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services.
    • Если раздел fDenyTSConnections имеет значение 0, значит протокол RDP включен.
    • Если раздел fDenyTSConnections имеет значение 1, значит протокол RDP отключен.
  5. Чтобы включить протокол RDP, для fDenyTSConnections замените значение 1 на 0.

Проверка блокировки объектом групповой политики протокола RDP на локальном компьютере

Если не удается включить протокол RDP в пользовательском интерфейсе или для fDenyTSConnections возвращается значение 1 после его изменения, объект групповой политики может переопределять параметры на уровне компьютера.

Чтобы проверить конфигурацию групповой политики на локальном компьютере, откройте окно командной строки с правами администратора и введите следующую команду:

Когда команда будет выполнена, откройте файл gpresult.html. Выберите Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Узел сеансов удаленных рабочих столов\Подключения и найдите политику Разрешить пользователям удаленное подключение с использованием служб удаленных рабочих столов.

Если для параметра этой политики задано значение Включено, групповая политика не блокирует подключения по протоколу RDP.

Пример сегмента gpresult.html, в котором показано, что объект групповой политики на уровне домена Block RDP блокирует протокол RDP.

Если же для параметра этой политики задано значение Отключено, проверьте результирующий объект групповой политики. Ниже показано, какой объект групповой политики блокирует подключения по протоколу RDP.

Пример сегмента gpresult.html, в котором объект групповой политики уровня домена Local Group Policy блокирует протокол RDP.

Проверка блокировки объектом групповой политики протокола RDP на удаленном компьютере

Чтобы проверить конфигурацию групповой политики на удаленном компьютере, нужно выполнить почти такую же команду, что и для локального компьютера.

В файле (gpresult-<computer name>.html), который создается после выполнения этой команды, используется такой же формат данных, как в версии файла для локального компьютера (gpresult.html).

Изменение блокирующего объекта групповой политики

Эти параметры можно изменить в редакторе объектов групповой политики (GPE) и консоли управления групповыми политиками (GPM). Дополнительные сведения об использовании групповой политики см. в статье Advanced Group Policy Management (Расширенное управление групповыми политиками).

Чтобы изменить блокирующую политику, используйте один из следующих методов.

  • В GPE укажите определенный уровень для объекта групповой политики (локальный или доменный) и выберите Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Службы удаленных рабочих столов > Узел сеансов удаленных рабочих столов > Подключения > Разрешить пользователям удаленное подключение с использованием служб удаленных рабочих столов.
    1. Задайте для политики значение Включена или Не задана.
    2. На затронутых компьютерах откройте окно командной строки с правами администратора и выполните команду gpupdate /force.
  • В GPM перейдите к подразделению, в котором блокирующая политика применяется к соответствующим компьютерам, и удалите эту политику.

Проверка состояния служб RDP

На локальном компьютере (клиентском) и удаленном компьютере (целевом) должны быть запущены следующие службы:

  • службы удаленных рабочих столов (TermService);
  • перенаправитель портов пользовательского режима служб удаленного рабочего стола (UmRdpService).

Для локального или удаленного управления службами можно использовать оснастку MMC. Вы также можете использовать PowerShell для управления службами в локальном или удаленном расположении (если удаленный компьютер настроен для приема удаленных командлетов PowerShell).

Службы удаленных рабочих столов в оснастке MMC "Службы" Не изменяйте параметры служб, заданные по умолчанию.

На любом компьютере запустите одну или обе службы, если они запущены.

Если вы запускаете службу удаленных рабочих столов, нажмите кнопку Да, чтобы служба перенаправителя портов пользовательского режима служб удаленного рабочего стола перезапустилась автоматически.

Проверка состояния прослушивателя протокола RDP

В точности следуйте инструкциям из этого раздела. Неправильное изменение реестра может вызвать серьезные проблемы. Прежде чем редактировать реестр, создайте резервную копию реестра, чтобы вы могли восстановить его в случае ошибки.

Проверка состояния прослушивателя RDP

Для выполнения этой процедуры используйте экземпляр PowerShell с разрешениями администратора. На локальном компьютере также можно использовать командную строку с разрешениями администратора. Но для этой процедуры используется PowerShell, так как одни и те же командлеты выполняются локально и удаленно.

Чтобы подключиться к удаленному компьютеру, выполните следующий командлет:

Команда qwinsta выводит список процессов, которые ожидают передачи данных через порты компьютера.

Введите qwinsta.

Если в списке содержится rdp-tcp с состоянием Listen, прослушиватель протокола удаленного рабочего стола работает. Перейдите к разделу Проверка порта прослушивателя протокола RDP. В противном случае перейдите к шагу 4.

Экспортируйте конфигурацию прослушивателя RDP с рабочего компьютера.

  1. Войдите на компьютер с той же версией операционной системы, что и у затронутого компьютера, и получите доступ к реестру компьютера (например, с помощью редактора реестра).
  2. Перейдите к следующей записи реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
  3. Экспортируйте запись в REG-файл. Например, в редакторе реестра щелкните запись правой кнопкой мыши, выберите пункт Экспортировать, а затем введите имя файла для экспортируемых параметров.
  4. Скопируйте экспортированный REG-файл на затронутый компьютер.

Чтобы импортировать конфигурацию прослушивателя протокола RDP, откройте окно PowerShell с разрешениями администратора на затронутом компьютере (или откройте окно PowerShell и подключитесь к этому компьютеру из удаленного расположения).

Чтобы создать резервную копию для существующей записи реестра, воспользуйтесь таким командлетом:

Чтобы удалить резервную копию для существующей записи реестра, воспользуйтесь таким командлетом:

Чтобы импортировать новую запись реестра и перезапустить службу, воспользуйтесь такими командлетами:

Замените <filename> именем экспортированного REG-файла.

Проверьте конфигурацию, попытавшись еще раз подключиться к удаленному рабочему столу. Если подключиться все равно не удается, перезагрузите затронутый компьютер.

Проверка состояния самозаверяющего сертификата протокола RDP

Сертификаты удаленного рабочего стола в оснастке MMC "Сертификаты".

  1. Если подключиться так и не удалось, откройте оснастку MMC "Сертификаты". Когда будет предложено выбрать хранилище сертификатов для управления, выберите Учетная запись компьютера и затронутый компьютер.
  2. В папке Сертификаты в разделе Удаленный рабочий стол удалите самозаверяющий сертификат протокола RDP.
  3. На затронутом компьютере выполните следующие действия, чтобы перезапустить службу удаленных рабочих столов.
  4. Обновите оснастку диспетчера сертификатов.
  5. Если самозаверяющий сертификат протокола RDP не был создан повторно, проверьте разрешения для папки MachineKeys.

Проверка разрешений для папки MachineKeys

  1. На затронутом компьютере откройте проводник и перейдите к папке C:\ProgramData\Microsoft\Crypto\RSA\ .
  2. Щелкните правой кнопкой мыши папку MachineKeys, а затем выберите Свойства, Безопасность и Дополнительно.
  3. Убедитесь, что настроены следующие разрешения:
    • Builtin\Администраторы: Полный доступ
    • Все: чтение и запись.

Проверка порта прослушивателя протокола RDP

На локальном компьютере (клиентском) и удаленном компьютере (целевом) прослушиватель протокола RDP должен ожидать передачи данных через порт 3389. Другие приложения не должны использовать этот порт.

В точности следуйте инструкциям из этого раздела. Неправильное изменение реестра может вызвать серьезные проблемы. Прежде чем редактировать реестр, создайте резервную копию реестра, чтобы вы могли восстановить его в случае ошибки.

Чтобы проверить или изменить порт протокола RDP, используйте редактор реестра:

Подраздел PortNumber для протокола RDP.

  1. Откройте меню Пуск, выберите Выполнить и введите regedt32 в появившемся текстовом поле.
    • Чтобы подключиться к удаленному компьютеру, в редакторе реестра щелкните Файл и выберите пункт Подключить сетевой реестр.
    • В диалоговом окне Выбор: "Компьютер" введите имя удаленного компьютера, выберите Проверить имена и нажмите кнопку ОК.
  2. Откройте реестр и перейдите к записи HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\<listener> .
  3. Если PortNumber имеет значение, отличное от 3389, укажите значение 3389.

Для управления службами удаленного рабочего стола можно использовать другой порт. Но мы не рекомендуем делать это. В этой статье не описано, как устранять проблемы, связанные с этим типом конфигурации.

Проверка того, что другое приложение не пытается использовать тот же порт

Для выполнения этой процедуры используйте экземпляр PowerShell с разрешениями администратора. На локальном компьютере также можно использовать командную строку с разрешениями администратора. Но для этой процедуры используется PowerShell, так как одни и те же командлеты выполняются локально и удаленно.

Откройте окно PowerShell. Чтобы подключиться к удаленному компьютеру, введите Enter-PSSession -ComputerName <computer name> .

Введите следующую команду:

Команда netstat выводит список портов, которые должны прослушивать службы.

Найдите запись для TCP-порта 3389 (или назначенного RDP-порта) с состоянием Ожидает вызова.

Идентификатор процесса службы или процесса, использующих этот порт, отобразится в столбце "Идентификатор процесса".

Чтобы определить, какое приложение использует порт 3389 (или назначенный порт протокола RDP), введите следующую команду:

Команда tasklist выводит данные об определенном процессе.

Найдите запись для номера процесса, связанного с портом (в выходных данных netstat). Службы или процессы, связанные с этим идентификатором процесса, отобразятся в столбце справа.

Если порт используется приложением или службой, отличающейся от служб удаленных рабочих столов (TermServ.exe), устранить конфликт можно с помощью одного из следующих методов:

  • В настройках такого приложения или службы укажите другой порт (рекомендуется).
  • Удалите другое приложение или службу.
  • В настройках протокола RDP укажите другой порт, а затем перезапустите службы удаленных рабочих столов (не рекомендуется).

Проверка блокировки порта протокола RDP брандмауэром

С помощью средства psping проверьте, доступен ли затронутый компьютер через порт 3389.

Откройте окно командной строки с правами администратора, перейдите в каталог, где установлено средство psping, и введите следующую команду:

Проверьте выходные данные команды psping на наличие таких результатов:

  • Подключение к <computer IP>: удаленный компьютер доступен.
  • (0% loss) (0 % потерь): все попытки подключения выполнены успешно.
  • The remote computer refused the network connection (Удаленный компьютер отклонил сетевое подключение): удаленный компьютер недоступен.
  • (100% loss) (100 % потерь): не удалось выполнить подключение.

Запустите psping на нескольких компьютерах, чтобы проверить возможность подключения к затронутому компьютеру.

Проверьте, блокирует ли этот компьютер подключения от всех остальных компьютеров, некоторых других компьютеров или только одного компьютера.



Пандемия вируса COVID-19 радикально изменила модель работы персонала множества организаций в добровольно-принудительном порядке, «наградив» большую его часть статусом «дистанционный», а кое-кого, даже «удалённый работник».

Если до «мега-эпидемии» сотрудники выполняли свои трудовые обязанности из офиса, используя подконтрольную IT-отделу компании корпоративную инфраструктуру, то во время самоизоляции, «львиная» доля офисной работы стала выполняться с домашних устройств с использованием протокола удалённого рабочего стола (RDP). Популярного, как сама ОС от MS, но, как свидетельствует список уязвимостей, не самого безопасного протокола. Как защитить свой RDP от посягательств извне, мы далее и поговорим.

К сожалению, рассмотреть особенности каждой из уязвимости, на которые я хотел бы обратить ваше внимание, одной статьи мне точно не хватит, поэтому в этой — ограничусь подробностями жизненного цикла одной из последних.

RDP наоборот

В 2018 году, в процессе исследований безопасности протокола удалённого рабочего стола, специалисты Check Point Research обнаружили множественные уязвимости в трёх популярных клиентах, предназначенных для работы с ним:

  • RDP-клиент от Microsoft / Mstsc.exe
  • rdesktop
  • FreeRDP

Демонстрация уязвимости от Check Point Research

О факте чего и было сообщено компании Microsoft (MSRC) 16 октября 2018 года. В ответ на что,17 декабря 2018 года адресат ответил:

В результате чего данная уязвимость не получила своего ID и патча для её исправления. источник

ГипеРДП

После публикации информации об этой уязвимости, сотрудники Check Point Research стали получать множество комментариев и вопросов, один из которых вызвал неподдельный интерес и побудил вернуться к дальнейшему исследованию и посмотреть на уязвимость под «другим углом», а именно: может ли уязвимость RDP-клиента Microsoft быть использована в Microsoft Hyper-V?

В результате дальнейшего изучения выяснилось, что в основе GUI для управления ВМ — Hyper-V manager, негласно используется технологии RDP, в расширенных сеансах которого, так же как и в свойствах удалённого рабочего стола есть возможность включения общего буфера обмена. И как следствие — присутствует та же самая уязвимость!

Демонстрация уязвимости в Hyper-V от Check Point Research

Об этом сотрудники Check Point Research рассказали в своем блоге, а также на конференции Black Hat USA 2019.

Презентация уязвимости на Black Hat USA 2019

Ну и, конечно же, сообщили в MSRC. На этот раз Microsoft завела тикет и в октябре 2019 года выпустила патч для исправления этой уязвимости, получившей ID: CVE-2019-0887. источник

Неисповедимы пути

После анализа эффективности патча, когда эксперты Check Point Research собрались уже было присвоить уязвимости статус «закрыта», к ним обратился пользователь Mac OS RDP Client, с информацией об особенностях поведения клиента после установки исправления от MS.

В процессе прототипирования модели RDP-соединения c использованием этого клиента, стало понятно, что в самом патче есть дыры в безопасности, которые позволяют обойти защиту и воссоздать первоначальный эксплойт. О чем и было сообщено MSRC.

В феврале 2020 года Microsoft собралась с силами и выпустила патч для исправления и этой уязвимости CVE-2020-0655, который, по словам экспертов Check Point Research, в полной мере так не решил проблему атаки обхода пути (path traversal attack), в частности, для Windows API. Оповещённая об этом «косячке» компания Microsoft пока эту ситуацию никак не прокомментировала. источник

И, что…

Как может заметить проницательный читатель, для удачного проведения атаки такого типа необходим скомпрометированный RDP-сервер. А «достать» его можно тремя путями:

  • Создать свой и выдать его за легитимный
  • Получить доступ к существующему и скомпрометировать его
  • Гибридный
  • Каждый арендуемый виртуальный сервер под управлением Windows — это уже RDP-сервер по-умолчанию
  • Каждый арендуемый виртуальный сервер под управлением Windows, как правило, уже имеет RDP-аккаунт с админскими правами и единым логином для всех пользователей.
  • Как правило, RDP-доступ к виртуальному серверу осуществляется через доступный на публичном IP-адресе TCP-порт: 3389.

Для справки: Пример роста количества атак семейства Bruteforce.Generic.RDP, февраль — апрель 2020 г. от Лаборатории Касперского.


… дальше

Для того чтобы не стать жертвой вышеописанных ситуаций, можно, конечно, менять параметры учётных записей и стандартные RDP-порты, блокировать неавторизованные попытки подключения с помощью брандмауэра Windows или сторонних программ типа IPBAN, использовать шифрование и сертификаты, и многое-многое другое. Но для меня самый простым и быстрым способом защиты RDP-подключения к вновь создаваемому серверу является разрешения RDP-доступа к нему только с узлов из доверенной сети.

В RUVDS для этого требуется три простых шага:

  • Объединить виртуальный сервер с компьютерами, которым необходим доступ к нему по RDP, виртуальной частной сетью. Я использую — ZeroTier
  • Настроить нативный файрвол виртуального сервера:
    В настройках сервера во вкладке Сети кликаем настроить файрвол для публичных адресов.

Читайте также: